Co to jest firewall (zapora sieciowa)?
Firewall jest monitorowaną i kontrolowaną granicą między siecią użytkownika a resztą Internetu. Zadanie zapory sieciowej polega na zapobieganiu cyberzagrożeniom i złośliwemu lub niechcianemu ruchowi sieciowemu spoza własnej sieci.
Firewall jest pierwszą linią obrony. Można go określić jako wielki mur wokół sieci czy firmy, który chroni zasoby cyfrowe przed zagrożeniami cybernetycznymi.
Techopedia wyjaśnia
Zwiększanie bezpieczeństwa poprzez budowę muru obronnego nie jest niczym nowym. W 122 r. n.e., na mocy dekretu cesarza Hadriana, rozpoczęły się prace nad murem, który miał otoczyć całe Imperium Rzymskie.
Jednym z nielicznych odcinków, które zostały ukończone zgodnie z rozkazem, był 80-milowy mur zbudowany w poprzek Anglii, od Wallsend na wschodnim wybrzeżu do Bowness-on-Solway na zachodnim. Znaczna jego część zachowała się do dziś. Co ciekawe, stał się inspiracją dla Wielkiego Muru w Grze o Tron.
Wał Hadriana nie powstał jednak jako bariera nie do pokonania. Miał pełnić funkcję bardziej kontroli granicznej, która pozwalała na dozwolony ruch w obu kierunkach przez bramy fortów, rozmieszczone w pięciomilowych odstępach wzdłuż długości muru.
Oczywiście obowiązywały zasady i regulacje dotyczące tego, kto i co może przez nie przejść. Jeśli ktoś chciał przeprowadzić parę wołów, nie miał z tym problemu. Ale jeśli woły ciągnęły wóz załadowany mieczami i włóczniami, przejście było zabronione.
Zapora sieciowa działa na podobnych zasadach. Reguły firewalla określają, jaki ruch może przejść do i z sieci. Zamiast fortów firewall posiada porty.
Cały ruch sieciowy próbuje dotrzeć do miejsca docelowego oznaczonego przez adres protokołu internetowego (IP) i port. Istnieją setki portów. Każdy z nich ma swój numer i określony, formalny lub zwyczajowy, cel.
Różne rodzaje ruchu sieciowego wykorzystują przeznaczone dla nich porty. Ruch sieciowy Hyper-Text Transport Protocol (HTTP) domyślnie korzysta z portu 80. Bezpieczny protokół HTTP (HTTPS) używa zaś port 443.
Poczta e-mail dostarczana przez Simple Mail Transfer Protocol (SMTP) korzysta z portu 25, a poczta e-mail dostarczana przez Internet Message Access Protocol (IMAP) wykorzystuje port 143.
Pracownicy zdalni, którzy chcą połączyć się z biurem, mogą korzystać z protokołu Remote Desktop Protocol (RDP), który jest obsługiwany przez port 3389.
Wszystkie te porty wymagają pewnych reguł, aby firewall mógł egzekwować politykę bezpieczeństwa dla ruchu próbującego wejść i wyjść z sieci. Nacisk na bezpieczeństwo zwykle kładzie się na ruch wchodzący do sieci, ale zapora sieciowa może równie łatwo kontrolować ruch opuszczający sieć.
Aby dowiedzieć się, czym różnią się zapory ogniowe od programów antywirusowych, przeczytaj nasz poradnik: firewall a antywirus.
Rodzaje firewalli
Istnieje wiele różnych rodzajów zapór sieciowych. Poniżej wskażemy różnice między głównymi grupami zapór sieciowych. Rozważamy tu tylko sprzętowe zapory sieciowe i nie bierzemy pod uwagę zapór programowych, takich jak „osobista” zapora wbudowana w system Microsoft Windows.
Tradycyjna zapora sieciowa
Zapory filtrujące pakiety jest rodzajem firewalla, który opisaliśmy powyżej. Zapewniają ochronę poprzez zapobieganie dostępowi do sieci firmowej wszelkiemu niepożądanemu ruchowi – składającemu się z wielu małych pakietów informacji – i podejrzanym połączeniom. Ich działanie polega zezwalaniu lub odmawianiu dostępu do sieci zgodnie ze wstępnie ustalonym zestawem reguł.
Zezwalają jedynie na ruch spełniający warunki określone w regułach opartych na kryteriach, takich jak źródłowy adres IP, docelowy adres IP, numer portu i protokół. Wszystko inne jest blokowane.
Te zapory sieciowe wykazują wysoką skuteczność, jeśli zostaną poprawnie skonfigurowane. Większość naruszeń zapór sieciowych wynika z błędnej konfiguracji reguł zapory lub nieaktualnego oprogramowania sprzętowego. Należy też pamiętać, że im bardziej zaawansowany firewall, tym bardziej skomplikowana jest jego konfiguracja.
Firewall nowej generacji
Te zapory ogniowe rozszerzają możliwości standardowej zapory. Standardowy firewall działa poprzez filtrowanie pakietów i przepuszczanie tych spełniających kryteria ustalonych reguł. Wszystko inne nie jest przepuszczane. Zapora nowej generacji wykorzystuje zaś inspekcję pakietów, aby dokładniej przyjrzeć się rodzajowi danego ruchu.
Jeśli tradycyjny firewall jest strażnikiem granicznym, który sprawdza historię danej osoby, jej dokumenty i pyta o cel podróży, to firewall nowej generacji też wykonuje te czynności, a dodatkowo przeszukuje osobę oraz jej bagaż.
Przygląda się zawartości każdego pakietu sieciowego i łączy te informacje z regułami zapory sieciowej, aby podjąć bardziej świadomą i szczegółową decyzję o zezwoleniu lub zabronieniu danego ruchu.
Możesz np. zezwolić pracownikom na korzystanie z Internetu podczas przerwy na lunch, ale nie chcesz, aby pobierali torrenty lub korzystali z czatów wideo. Zapory nowej generacji pozwalają na bardzo szczegółowe określenie sposobu korzystania z aplikacji. Możesz zezwolić na nawiązywanie połączeń głosowych za pomocą Skype’a, ale zabronić przesyłania plików.
Urządzenia te oferują bardzo wysoki poziom ochrony i dlatego czasami są niezbędne do uzyskania certyfikatu lub zgodności z normą w przypadku np. Payment Card Industry Data Security Standard (PCI-DSS), Health Insurance Portability and Accountability Act (HIPAA) lub standardów systemu zarządzania bezpieczeństwem informacji zgodnych z ISO/IEC 27001.
Szczegółowy poziom kontroli nad przepływem danych do i z sieci pozwala na ograniczenie większej liczby zagrożeń, w tym tych wywołanych przez niesubordynowanych i niezadowolonych pracowników.
Zapora sieciowa nowej generacji zwykle czasami oferuje również inne zabezpieczenia. Te staja się dostępne od razu po instalacji lub jako opcjonalne dodatki, do zakupu w modelu subskrypcji. Wykrywanie włamań, skanowanie w poszukiwaniu złośliwego oprogramowania i inspekcja zaszyfrowanego ruchu są najpopularniejszymi dodatkami, które często występują pod ogólnym terminem, takim jak „ochrona sieci”.
Inspekcja pakietów sieciowych zajmuje niewiele czasu. Jednak w przypadku sieci o dużym natężeniu ruchu te niewielkie ilości sumują się i mogą powodować problemy z przepustowością. Uniknięcie degradacji sieci może wymagać większej liczby zapór sieciowych i równoważenia obciążenia lub szybszych, bardziej wydajnych i droższych jednostek zbudowanych w celu obsługi dużych ilości danych.
Zapory aplikacji internetowych
Firewall aplikacji internetowych zwykle składa się z serwera proxy, który znajduje się pomiędzy aplikacją uruchomioną na serwerze a jej zdalnymi użytkownikami, którzy uzyskują do niej dostęp przez Internet.
Serwer proxy działa jako pośrednik w przesyłaniu wiadomości – akceptuje połączenia od użytkowników i wchodzi w ich imieniu w interakcje z aplikacją na serwerze. To pośredniczenie w połączeniach zapewnia ochronę przed skanowaniem portów i innymi złośliwymi zagrożeniami, takimi jak ataki zniekształconymi pakietami. Zniekształcone połączenia nie przechodzą przez serwer proxy i nie docierają do serwera aplikacji.
Zapory sieciowe aplikacji internetowych zapewniają bezpieczny bufor między serwerem aplikacji internetowych, nieszkodliwymi użytkownikami a złośliwymi hakerami.
Firewalle aplikacji internetowych są przygotowane do solidnej pracy, z naciskiem na prostotę i szybkość. Wbrew intuicji prostota sprawia, że staje się mniej podatny na ataki i luki w zabezpieczeniach niż same serwery aplikacji internetowych, a także łatwiej się je utrzymuje i aktualizuje.
Aplikacje internetowe z definicji są przeznaczone, by uzyskiwać do nich dostęp online, a popularny program może odbierać naprawdę ogromny ruch.
Dla niektórych organizacji to wystarcza, aby rozdzielić potrzeby firmowej zapory sieciowej. Decydują się wówczas na firewall dedykowany dla sieci oraz oddzielny dla ruchu aplikacji internetowych. Sprzętowy firewall dla dużego ruchu sieciowego jest tańszy niż zapora sieciowa.
Zapory sieciowe baz danych
Są to specjalistyczne zapory aplikacji internetowych, dostosowane do potrzeb internetowych aplikacji bazodanowych. Ich konstrukcja obejmuje funkcje, które wykrywają i neutralizują ataki specyficzne dla baz danych, takie jak SQL injection i cross-site scripting.
Naruszenie bezpieczeństwa danych stanowi problem dla wszystkich. Powoduje utratę reputacji, brak zaufania do bazy użytkowników i możliwe grzywny ze strony organów nadzorczych. Stało się więc jasne, że trzeba podjąć wszelkie uzasadnione kroki w celu ochrony baz danych i zawartych w nich informacji.
Zapory sieciowe baz danych zazwyczaj posiadają pulpit nawigacyjny, dzięki czemu ruch w bazie danych i dostępy do niej można z łatwością przeglądać, sprawdzać i raportować. W zależności od charakteru danych w bazie pomaga to przy wykazaniu zgodności ze standardami i innymi wymogami regulacyjnymi.
Narzędzia do ujednoliconego zarządzania zagrożeniami
Narzędzia do ujednoliconego zarządzania zagrożeniami łączą w sobie funkcje różnych zapór sieciowych i urządzeń zabezpieczających.
Zwykle ich funkcje obejmują:
- tradycyjną zaporę sieciową;
- system wykrywania włamań;
- skanowanie pakietów w poszukiwaniu złośliwych plików, wirusów i złośliwego oprogramowania;
- czarną listę adresów internetowych, która uniemożliwia pracownikom łączenie się z witrynami o ograniczonym dostępie, takimi jak np. znane strony phishingowe.
Urządzenia te są droższe niż tradycyjna zapora sieciowa i zazwyczaj wiążą się z bieżącymi kosztami subskrypcji w celu otrzymywania aktualizacji antywirusowych dla funkcji skanowania pakietów.
Są one jednak tańsze niż korzystanie z zestawu dedykowanych rozwiązań z najwyższej półki do osiągnięcia tego samego zakresu ochrony. Dedykowane urządzenia będą oczywiście lepsze, ale dla niektórych organizacji jest to po prostu zbyt kosztowne. Dobrą alternatywą jest urządzenie do ujednoliconego zarządzania zagrożeniami.
Firewall w chmurze
Opisuje się je jako firewall-as-a-service, czyli zapora sieciowa jako usługa. Są to zapory hostowane w chmurze, dostarczane przez wyspecjalizowanych dostawców. Charakteryzuje je wysoka dostępność, skalowalność, zdolność do obsługi ogromnych skoków ruchu i możliwość oferowania pewnej ochrony przed atakami DDoS. Utrzymują je i konfigurują specjaliści od zapór sieciowych, więc nie trzeba posiadać tak niszowego talentu we własnym zakresie.
Lokalne zmiany są minimalne, często polegają tylko na przekierowaniu ruchu z routerów firmowych do firewalla w chmurze. Użytkownicy zdalni lub mobilni łączą się z nią za pośrednictwem wirtualnej sieci prywatnej (VPN) lub z wykorzystaniem jej jako sieciowego serwera proxy.
Firewalle w chmurze poleca się szczególnie organizacjom, które posiadaja wiele lokalizacji. Każda z nich zyskuje wówczas zabezpieczenie przez tę samą technologię zapory bez konieczności kierowania całego ruchu przez centralną zaporę lokalną lub zakupu, konfigurowania i wdrażania wielu zapór w całej infrastrukturze IT.
Zapora sieciowa dla kontenerów
Kontenerowe zapory sieciowe zostały zaprojektowane specjalnie w celu sprostania wyzwaniom związanym z wirtualizowanym przetwarzaniem w innym środowisku w kontenerach. Działają bardzo podobnie do tradycyjnej zapory sieciowej, ale muszą radzić sobie z dodatkową złożonością obsługi ruchu w środowisku kontenerowym, a także ruchu przychodzącego z nieskonteneryzowanego świata zewnętrznego i ruchu sieciowego wysyłanego do tego świata.
Z uwagi na to, iż większość hipernadzorców kontenerowych działa w systemie Linux, można zainstalować program firewall na wielu kontenerach. Jednak przy liczbie przekraczającej kilka kontenerów do administrowania nakład pracy związany z utrzymaniem zapory sieciowej dla każdego z nich staje się zbyt duży.
Firewall segmentacji sieci
Zapora segmentacji sieci służy do ochrony podsieci w sieci korporacyjnej, które zostały wydzielone do obsługi określonych obszarów funkcjonalnych, zespołów, działów lub ze względu na inne wymagania segregacyjne.
Są często używane do wewnętrznego izolowania obszarów, które obsługują wrażliwe dane, jak np. dane kart płatniczych. Wraz z innymi środkami, takimi jak kontrola dostępu, stanowią część ochrony wymaganej do spełnienia standardu takiego jak PCI-DSS.
Ponadto są również wdrażane na granicach podsieci, gdzie działają jak grodzie w łodzi podwodnej. W przypadku naruszenia w jednym obszarze pomagają powstrzymać lub spowolnić rozprzestrzenianie się zagrożenia czy infekcji.
Zapory sieciowe do segmentacji sieci najbardziej poleca się dużym organizacjom lub firmom z dużymi i złożonymi obwodami sieci, które są trudne do zabezpieczenia.
Podstawowe błędy zapory sieciowej
Skuteczność zapory sieciowej może zostać podważona przez często głupie, podstawowe błędy. Twój idealny — i prawdopodobnie bardzo drogi — firewall może nie działać poprawnie, jeśli ty lub twoi pracownicy popełnicie te błędy.
Wciąż istnieją firmy, które posiadają domyślne hasło administratora na swoich firewallach. Pozwala to hakerom na zdalne łączenie się z zaporą sieciową i konfigurowanie reguł umożliwiających dostęp do sieci w dowolnym momencie.
Zwykle zmieniają hasło, które sam powinieneś zmienić na samym początku. Nie zareagujesz wówczas na działania hakerów ani ich nie zablokujesz. Stajesz się więc odcięty.
Niestety niektórzy producenci dostarczają zapory sieciowe ze „standardowym” zestawem otwartych portów. Upewnij się, że zamykasz wszystkie porty, których nie używasz, oraz stwórz i egzekwuj procedurę operacyjną, aby otwierać port tylko w przypadku zweryfikowanej i uzgodnionej potrzeby biznesowej.
Częścią procedury musi być weryfikacja, czy uwierzytelnianie zostało zastosowane do połączeń na tym porcie i czy wdrożono odpowiednie zarządzanie za pomocą reguł zapory.
Ustawianie reguł zapory sieciowej może stać się skomplikowane. Łatwo jest wpaść w pułapkę, jeśli nieumyślnie utworzy się dwie sprzeczne ze sobą reguły. Wówczas zaczną ze sobą walczyć, jedna lub obie zawiodą i nie będą egzekwowane. To narazi cię na niebezpieczeństwo ze względu na lukę, która może zostać naruszona.
Złośliwe podmioty stosują skanowanie portów do wyszukiwania tych otwartych. Każdy otwarty port jest następnie automatycznie sprawdzany. Nie ma więc wątpliwości, dlaczego należy otwierać tylko niezbędne porty i zabezpieczać te otwarte.
Przekierowanie portów jest techniką, w której nietypowy, niestandardowy numer portu służy do czegoś, co ma zdefiniowany port, np. RDP na porcie 3389.
Proces ten może obsługiwać firewall na porcie 32664 i przekierowywany wewnętrznie na port 3389 na serwerze RDP. Port 3389 na zaporze sieciowej można następnie zamknąć, co z zewnątrz sprawia wrażenie, że w ogóle nie używasz RDP.
Tak czy inaczej, firewalle działają na oprogramowaniu, a te posiadają błędy. Dlatego konserwuj zapory ogniowe i stosuj wszelkie poprawki bezpieczeństwa wydane przez producenta w celu eliminacji luk wykrytych w oprogramowaniu sprzętowym urządzenia.
Podsumowanie
Ostateczny wynik zależy przede wszystkim od ludzi. Potrzebne jest wsparcie budżetowe z najwyższych szczebli zarządzania i ludzi na pierwszej linii do konfiguracji, wdrażania i konserwacji firewalli.
Konserwacja wymaga zarządzania w postaci harmonogramów i procedur. Potrzeba więc ludzi, którzy je napiszą, wdrożą i będą ich przestrzegać.
Mur Hadriana byłby bezużyteczny bez rozkazów, dyscypliny i dobrze wyszkolonych legionistów.
Źródła
- Hadrian – World History Encyclopedia (World History Encyclopedia)
- Mur w Grze o Tron: Analiza jego historii i magii (Time)
- Wał Hadriana | Historia Rzymu, Anglia, Wielka Brytania | Britannica (Britannica)